Цифрова безпека важлива завжди, не тільки в умовах війни, тому дотримуватися певних правил потрібно незалежно від поточних обставин. Просто у наш час збільшується вірогідність того, що ваш акаунт чи пристрій буде атакований, оскільки цифрові загрози – це вже невід’ємна складова війни.
Наразі, цифрова безпека не менш важлива, ніж фізична (а для деяких категорій, як то журналісти, особливо під час війни — можливо, й більш важлива), тому для підвищення рівня вашої захищеності просто необхідно вжити декілька певних нескладних заходів.
У цій рекомендації ми розібʼємо поради щодо захисту на 2 складові:
- Захист пристроїв (смартфон, ноутбук, накопичувач) – те, на що можна вплинути фізично та дані, які на цих пристроях зберігаються.
- Захист акаунтів, до яких можна “дотягнутися” віддалено через інтернет.
А десь посередині між цим йдуть “комунікації”, які теж треба захищати. Отже, почнемо з пристроїв.
Дотримання цих або інших рекомендації не захистить вас на 100%, проте дотримання цих правил значно посилить рівень захищеності та дозволить уникнути багатьох відомих та часто використовуваних загроз, таких як крадіжка акаунту, втрата даних, зараження пристрою шкідливим програмним забезпеченням, несанкціонований доступ до даних.
Вимоги щодо захисту ваших пристроїв
- Встановлюйте та використовуйте ліцензійне програмне забезпечення з усіма актуальними оновленнями лише з офіційних джерел (сайтів та магазинів застосунків). Це необхідно для захисту від офіційно описаних і задокументованих вразливостей, які були вивчені і виправлені виробниками програмного забезпечення. Один із найвідоміших прикладів експлуатації таких “дірок” – шпигунське ПЗ “Pegasus”. Для успішної роботи – а це доступ до листування, геолокації, мікрофону, камери тощо – вона використовує вразливість операційної системи смартфону, а щоб “заразити” чийсь пристрій, достатньо просто мати його номер телефону.
- Переконайтеся, що маєте працюючий антивірус з актуальними антивірусними базами. Підходить як вбудований у Windows, так й комерційний (наприклад, Malwarebytes). Встановлений антивірус, який не оновлюється, дає помилкове відчуття безпеки.
- Налаштуйте автоматичне створення резервних копій та/або критично важливих даних в надійну “хмару” (OneDrive, Google Drive, iCloud, Mega, Backblaze).
- Активуйте шифрування вмісту смартфона та комп’ютера (Windows, macOS, Android, iOS).
- Заздалегідь активуйте віддалене керування пристроєм (iOS – “Локатор”, Android – “Знайти пристрій”, Samsung – “Знайти телефон”). У разі втрати контролю над пристроєм, ви зможете спробувати знайти його віддалено, або видалити всі дані.
- Встановіть буквенно-числовий пароль на розблокування у всіх своїх пристроях.
- Активуйте автоматичне блокування екрану через 1–3 хвилини “простою”.
- Увімкніть знищення даних у разі введення неправильного пароля (стандартно – 10 спроб зі знищенням після цього). Зверніть увагу, що такий підхід треба комбінувати зі створенням резервної копії (краще автоматичним) смартфону. В такому випадку дані видаляються зі смартфону, проте залишаються в “хмарі”, і ви зможете пізніше відновити їх вже на іншому пристрої.
- Використовуйте захисні плівки (“антишпигунське” скло), які не дозволять під певним кутом побачити те, що у вас на екрані.
- Майте перевірений та надійний повербанк, заряджайте пристрої тільки власними зарядками, походження яких ви знаєте, або бездротовими зарядками (так радить діяти і ФБР. Адже існують “хакерські” дроти – наприклад, O.MG cable, який дозволяє перехоплювати натискання, запускати атаки або дії за допомогою консолі, завантажувати шкідливе програмне забезпечення або красти збережені паролі з браузера, передаючи їх зловмиснику через інтернет.
- Перевірте, які доступи мають застосунки, та заберіть зайві. Для чого, наприклад, “калькулятору” мати доступ до геолокації?
Деякі виробники смартфонів (Samsung, Xiaomi, OnePlus, Realme) мають вбудовану функцію “подвійного дна” (“Second space”), яка дозволяє на одному смартфоні мати різні налаштування та вміст. Для одних ситуацій – у вас одні налаштування та застосунки, для інших (коли, наприклад, є ймовірність перевірки смартфону) – інші: погода, рецепти, онлайн-кінотеатр та ігри. Проте, повністю на це покладатися не можна, бо той, хто перевіряє, потенційно може знати про такий функціонал.
Вимоги щодо захисту ваших облікових записів (акаунтів)
Захист майже будь-яких облікових записів складається з надійного паролю, увімкненої двофакторної аутентифікації, актуальних методів відновлення доступу.
Основні вимоги для паролю
- Унікальність. Один сервіс – один унікальний пароль.
- Довжина. Чим пароль довший – тим він надійніший:
- Пароль з 8 символів, наприклад, jsKsy6w2, програма знайде перебором за 1 годину;
- Пароль із 15 символів, наприклад, jIS8wk0-2lajjsT, програма з підбору паролів знайде перебором за 15 мільярдів років.
- Не використовуйте особисту інформацію та поширені слова:
- Наприклад, дату народження та дівоче прізвище матері.
- Паролі треба зберігати в надійному місці:
- Для зберігання паролів існують спеціальні програми, наприклад, Bitwarden (bitwarden.com), KeePass (keepass.info) та Proton Pass (proton.me/pass).
- Переконайтеся, що надійні паролі встановлені й на всіх ваших пристроях (ноутбук, смартфон, планшет тощо).
Двофакторна аутентифікація
Двофакторна аутентифікація (2ФА) дозволяє захистити ваші дані (облікові записи тощо), навіть якщо хтось дізнався ваш логін та пароль.
Основні поради:
- Вмикайте 2ФА всюди, де є така можливість. Основні сервіси (Facebook, GMail, X, Dropbox, iCloud тощо) підтримують цю функцію.
- Використовуйте додаток для генерування кодів (наприклад, Google Authenticator), замість коду в СМС (про небезпеку таких СМС розповідаємо нижче).
- Після вмикання 2ФА обов’язково збережіть у надійному місці коди відновлення. Надійність місця визначте самостійно з огляду на умови та загрози. Це може бути гаманець, файлове сховище в менеджері паролів, коробка з інструкціями від побутової техніки тощо.
Корисні посилання:
- Завантажити Google Authenticator: support.google.com/accounts/answer/1066447.
- “Просунуті” аналоги Google Authenticator: 2FAs (2fas.com), Authy (authy.com).
- Перелік сервісів, які підтримують двофакторну аутентифікацію: 2fa.directory.
- Увімкнути 2ФА:
- GMail: safety.google/authentication/;
- Facebook: facebook.com/help/148233965247823;
- Apple ID (iCloud): support.apple.com/HT204915;
- Dropbox: dropbox.com/help/security/enable-two-step-verification;
- X: help.twitter.com/uk/managing-your-account/two-factor-authentication;
- Інструкції, як увімкнути на інших сервісах, порівняння сервісів: 2fa.directory.
Небезпека кодів у СМС
Під час війни і поряд з окупованими територіями (а тим більше – на них) вкрай важливо користуватися програмою-генератором кодів (Google Authenticator чи 2FAS) замість традиційних СМС з кодом. Оскільки їх можна перехопити, повідомлення може взагалі не прийти, якщо немає покриття мобільної мережі або знеструмлена базова станція. На практиці буває так, що є електроенергія з зарядної станції, інтернет – через Starlink, а мобільного звʼязку немає.
Проте, бувають сервіси (наприклад, інтернет-банкінг), в яких неможливо змінити засіб аутентифікації з СМС на програму-генератор кодів, тому залишається єдиний варіант – отримувати коди в СМС.
Щоб посилити захист цього способу, зробіть прив’язку вашої СІМ-карти до паспорту. Це суттєво ускладнить зловмисникам спроби зробити дублікат СІМ-карти.
Привʼязку до паспорта ви можете зробити в сервісних центрах або онлайн:
Усі ці вимоги мають стосуватися і методів відновлення. Резервна пошта, яку ви вказали для відновлення доступу в акаунт, так само повинна бути захищена надійним паролем і 2ФА.
Вимоги щодо захисту ваших даних
Якщо із захистом пристроїв та акаунтів ми розібралися, то саме час поговорити про захист даних (текст, фото, голос та інше) при передачі. Потенційно, коли ви обмінюєтеся будь-якою інформацією – вона може бути доступною й третім особам: інтернет-провайдеру, системному адміністратору, спецслужбам, власникам сервісів, якими ви користуєтеся тощо. Тому тут важливо обирати надійні сервіси та вживати додаткових заходів.
Безпечні комунікації
Всі чули про VPN. Часто його сприймають як інструмент, який дозволяє обходити блокування певних сайтів, проте його основне завдання – шифрувати трафік, тим самим захищати його та приховувати факт листування, відвідування сайту тощо, використовуючи віртуальний тунель із сервером-посередником. Якщо ваш пристрій перебуває в “незрозумілій” чи “непідконтрольній” Wi-Fi або “дротовій” мережі (наприклад, у публічному місці) – використовуйте мобільний інтернет вашого оператора або VPN. Або обидва одночасно, гірше не буде.
VPN може бути корисний у випадках:
- Wi-Fi-мережа без паролю, чужий Wi-Fi;
- Обхід блокувань і моніторингу;
- Доступ з інтернету до ресурсів організації/компанії.
Одним із найнадійніших VPN-сервісів є Psiphon. Він добре захищає ваш трафік та сам пристосовується під жорсткі умови блокування VPN, а також може їх обходити. Використовуйте на всіх своїх пристроях: комп’ютері, смартфоні та планшеті.
Краще мати декілька встановлених VPN, оскільки роботу деяких можуть обмежувати на тимчасово окупованих територіях.
Одразу зафіксуємо, що стандартні дзвінки через мобільного оператора (GSM) можна використовувати тільки для вимушених розмов на “прості” теми (наприклад, “яка погода” тощо).
Для обміну повідомленнями та дзвінків (голос/відео/файли) використовуйте месенджери з end-to-end шифруванням, які мають відкритий код та проходять незалежний аудит. Ви маєте знати, як ці месенджери заробляють, а також вони повинні бути зареєстрованими та мати сервери у демократичних країнах. Наприклад, таким месенджером є signal.org.
Варто звертати увагу й на месенджери, які ставлять захист на перше місце та постійно вдосконалюються. У вересні цього року Signal перейшов на більш потужний протокол шифрування, тож йому не загрожують квантові компʼютери, які здатні дешифрувати зашифрований трафік.
Якщо для чутливої комунікації задіяні Telegram / Facebook Messenger та від них не можна відмовитися, то необхідно використовувати “секретні чати” (доступні за посиланням у Telegram і Facebook Messenger). А в майбутньому – перевести спілкування у Signal та повністю відмовитися від використання Telegram і Viber.
Під інші потреби (наприклад реєстрацію без мобільного номеру, доступну у Threema) можна підібрати месенджер на сайті securemessagingapps.com.
Залежно від ваших обставин і загроз,налаштуйте автоматичне видалення повідомлень в чатах (через 1 день / 1 тиждень). Особливо актуально це під час війни та перебування поряд з окупованими територіями чи на них, коли сьогодні співрозмовник – друг, а завтра – вже ворог.
Якщо ви продовжуєте спілкуватися через електронну пошту – такі повідомлення теж треба захищати. Можна використовувати PGP за допомогою Mailvelopе, зберігши свою поштову адресу, або завести собі нову скриньку на надійному сервісі Proton або Tutanota.
Загроз насправді більше, однак у кожного вони свої, і описати та передбачити все – неможливо. Тому важливо слідкувати за новинами та новаціями у сфері цифрової безпеки і відповідно – змінювати свої звички та комбінувати інструменти.
Так, це незручно, потребує певних зусиль та зміни поведінки, проте значно підвищує рівень захисту, який напряму впливає на нашу репутацію, гроші й найважливіше – життя. Слідкувати за змінами в темі цифрової безпеки можна на профільних сайтах, наприклад, bezpeka.media, thehackernews.com, cybersecurity-insiders.com та інших.
Рекомендацію для Незалежної медійної ради підготував Павло Бєлоусов, експерт з питань цифрової безпеки ГО “Інтерньюз-Україна”, консультант Школи цифрової безпеки DSS380.